Malware PingPull

Pesquisadores de segurança da Unidade 42 de Palo Alto descobriram e analisaram uma nova variedade de malware chamada PingPull. O novo malware tem recursos RAT e é particularmente difícil de detectar.

O PingPull é a mais nova ferramenta no arsenal do agente avançado de ameaças persistentes GALLIUM, às vezes chamado de Softcell. Dada a geolocalização das entidades visadas pelo GALLIUM e seu modo de operação, bem como o uso de malware e modos de operação já vinculados a agentes de ameaças chineses conhecidos, significa que o equipamento GALLIUM também é muito provavelmente chinês e é patrocinado pelo estado.

O próprio PingPull vem em três variações diferentes que podem usar três protocolos diferentes para se comunicar com os servidores C2 do malware, mesmo que todas as três variantes tenham os mesmos recursos.

O Trojan oferece doze comandos diferentes, usando o processo cmd.exe do Windows como um shell reverso. Esses comandos incluem enumeração de unidades de armazenamento, todas as principais operações com arquivos, incluindo conversão para hexadecimal, arquivos de registro de data e hora e manipulação de diretórios.

O malware pode instalar uma cópia de si mesmo como um serviço na máquina comprometida, copiando a descrição do serviço Iphlpsvc Windows, na tentativa de evitar a detecção.

A comunicação entre o trojan e sua infraestrutura C2 é criptografada usando AES.